29
Feb
2016
Datenspeicherung

EU-Kommission veröffentlicht EU-US Data Privacy Shield – erste Bewertung & Workshop

Die EU-Kommission hat heute den Entwurf für eine Entscheidung zur Übermittlung personenbezogener Daten in die USA auf der Basis des EU-US Privacy Shield veröffentlicht. Zu den veröffentlichten Texten gehören der Angemessenheitsbeschluss der Kommission, entsprechende schriftlichen Zusicherungen der USA, die im US-Bundesregister veröffentlicht werden, sowie eine Mitteilung der Kommission zu den neuen Garantien für transatlantische Datenübermittlungen.

Eckdaten des EU-US Privacy Shield

  • Transparenz: Die USA sichern schriftlich zu, dass der Zugriff auf personenbezogene Daten klaren Beschränkungen, Sicherungen und einer Aufsicht unterliegt. Dieser Punkt war in der Vergangenheit sehr umstritten.
  • Überwachung von Privatpersonen: US-Behörden versichern, dass es keine unangemessene (indiscriminate) Massenüberwachung gibt.
  • Angaben zu Zugriffen von US-Behörden: US-Unternehmen dürfen neuerdings die ungefähre Anzahl von Nachfragen der US-Behörden wegen Zugriffen bekanntgeben. In der Vergangenheit durften sie allenfalls sehr vage Angaben zur Forderungen von US-Behörden nach Daten machen.
  • Rechtsschutz: Unternehmen müssen Beschwerden wegen möglichen Verstößen gegen das Abkommen innerhalb von 45 Tagen beantworten.
  • Schiedsverfahren: EU-Bürger sollen bei möglichen Verstößen gegen das Privacy Shield-Abkommen kostenlos Schiedsgerichte anrufen können.
  • Zusammenarbeit: Deutsche Datenschutzbehörden arbeiten mit dem US Department of Commerce und der Federal Trade Commission zusammen.

Erste Einschätzung

  • Folgen: Der Privacy Shield ist keine Allzwecklösung. Aber er kann der Beginn einer besseren Abstimmung zwischen der EU und den USA beim Datenschutz sein.
  • Einschätzung: Die USA haben sich erkennbar bewegt. Sowohl bei der Frage des Zugriffs von US-Behörden auf EU-Daten in den USA als auch beim Rechtsschutz. Das ist auf jeden Fall ein gutes Zeichen.
  • Zeitrahmen: Der Privacy Shield ist sicherlich keine schnelle Lösung. In der EU werden die Entwürfe nun mit den Mitgliedsstaaten und der Art. 29 Datenschutz-Gruppe beraten, bevor eine endgültige Entscheidung getroffen wird. Währenddessen treffen die USA die erforderliche Schritte, um die vereinbarten Maßnahmen umzusetzen. Auch das Rahmenabkommen zwischen der EU und den USA muss erst noch abgeschlossen werden.
  • Anforderungen: Selbst wenn in Brüssel und Washington dann einmal alles beschlossen ist, müssen die Unternehmen ja auch noch Strukturen zur Einhaltung des Abkommens einführen und dessen Vorgaben umsetzen, bevor sie sich als Teilnehmer des Privacy Shield registrieren lassen können.
  • Bewertung: Das Abkommen ist ein Schritt in die richtige Richtung. Allerdings werden deutsche und europäische Aufsichtsbehörden nach den Erfahrungen mit Safe Harbor teilweise skeptisch bleiben. Es wird auch spannend werden, wie europäische Gerichte das neue Datenabkommen zum Privacy Shield bewerten werden.

Wie geht es nun weiter?

Zunächst wird ein Ausschuss aus Vertretern der Mitgliedstaaten und EU-Datenschutzbehörden (Artikel-29-Datenschutzgruppe) über den Entwurf der Kommissionsentscheidung beraten. Dieser Ausschuss wird dann zu dem geplanten Datenschutzschild Stellung nehmen. Erst dann wird das Kollegium der Kommissarinnen und Kommissare abschließend über den Privacy Shield entscheiden. In der Zwischenzeit treffen die USA die notwendigen Vorkehrungen zur Einrichtung des neuen Rahmens, der neuen Überwachungsmechanismen sowie der neuen geplanten Ombudsstelle.

HL Data ProtectionWeitere Einzelheiten

Mehr Informationen finden Sie in dieser Pressemitteilung der Kommission oder diesem Memo mit weiteren Einzelheiten. Das ebenfalls veröffentlichte Factsheet enthält ein Schaubild mit einem Überblick der wesentlichsten Eckdaten. Den Entwurf des Angemessenheitsbeschlusses der Kommission finden Sie hier, die entsprechende Pressemitteilung hier . Derzeit sind die Dokumente ausschließlich in Englisch abrufbar.

Workshop Data Privacy Shield und internationaler Datentransfer

In unserer Veranstaltungsreihe wollen wir Sie zu diesen beiden Themen auf den neusten Stand bringen:

  • Safe Harbor 2.0/ EU-US Privacy Shield – Aktueller Stand und Verhalten der Aufsichtsbehörden?
  • Internationaler Datentransfer – Binding Corporate Rules und Standardvertragsklauseln nach der Reform

Nutzen Sie die Gelegenheit, unsere Workshops in Berlin, Düsseldorf, Frankfurt, Hamburg oder München zu besuchen:

  • Düsseldorf, 8. März 2016, 09:00 – 10:00 Uhr
  • München, 9. März 2016, 18:00 – 19:30 Uhr
  • Berlin, 10. März 2016, 18:00 – 19:30 Uhr
  • Hamburg, 12. April 2016, 09:00 – 10:30 Uhr
  • Frankfurt, 19. April 2016, 18:00 – 19:30 Uhr

Seien Sie dabei und registrieren Sie sich per E-Mail hier. Leiten Sie die Einladung gerne auch an interessierte Kollegen weiter.

Herzliche Grüße

Ihr Hogan Lovells Datenschutz-Team

 

Verfasst von Tim Wybitul (aus der Sozietät ausgeschieden)